第1章 pkispawn ユーティリティーおよび pkidestroy ユーティリティー
Certificate System には、サブシステムを作成および削除する 2 つのコマンドラインユーティリティー(
pkispawn および pkidestroy )が含まれています。
注記
以前のバージョンの Certificate System では、インストールおよび設定は、
pkicreate ユーティリティーおよび pkisilent ユーティリティーが管理する 2 つの別個のタスクに分割されていました。Certificate System バージョン 9 以降では、単一の pkispawn ユーティリティーが、これらすべての操作を管理するようになりました。
pkiremove ユーティリティーを使用して、以前の Certificate System バージョンのサブシステムが削除されました。ユーティリティーが pkidestroy に置き換えられました。
1.1. pkispawn ユーティリティー
pkispawn ユーティリティーは、Certificate System サブシステムを作成し、設定します。以下の 2 つのインストールモードをサポートしています。
- 非対話モード。ユーザーは、コマンドラインオプションと設定ファイルを使用してインストールと設定設定を提供します。
- インタラクティブモード。
pkispawnは、インストールに必要な基本情報の入力を自動的に要求します。
両方のインストールモードを組み合わせることもできます。これにより、一部の設定を
pkispawn に直接渡すことができ、ユーティリティープロンプトに他の設定を対話的に行うことができます。たとえば、-s オプションを pkispawn に追加し、設定ファイルを提供するために -f オプションを指定しないと、インストールは /etc/pki/default.cfg ファイルからデフォルト設定を使用し、パスワードなどの追加のカスタム情報を対話的に要求します。
本セクションでは、
pkispawn を使用して Certificate System サブシステムをインストールする方法を説明します。pkispawn の詳細は、pkispawn(8) の man ページを参照してください。man ページには、pkispawn の使用方法に関するさまざまな例が記載されています。
1.1.1. 非対話の pkispawn モード
設定パラメーターは事前に作成された設定ファイルで提供されるため、ユーティリティーはいくつかのコマンドラインオプションのみを受け入れます。
pkispawn を使用してサブシステムを作成および設定するには、以下のオプションを指定して ユーティリティーを実行します。
-sオプション- 作成して設定するサブシステムを指定します(CA、KRA、OCSP、TKS、または TPS)。
-fオプション- 設定ファイルへのパスを指定します。
たとえば、以下のコマンドは
myconfig.txt ファイルに基づいて CA サブシステムを作成します。
# pkispawn -s CA -f myconfig.txt
pkispawnの設定ファイル
Certificate System は、
/etc/pki/default.cfg ファイルにデフォルト設定を保存します。pkispawn ユーティリティーに提供できるカスタム設定ファイルを作成するには、default.cfg を別の場所にコピーします。次に、コピーしたファイルを変更して、pkispawn が新しいサブシステムに適用する設定を定義します。
カスタム設定ファイルは、デフォルトの
default.cfg ファイルよりも優先されます。一般的には、ユーザーによって提供されるカスタム設定ファイルにデフォルト設定とは異なるパラメーターのみを保存するのが一般的です。
default.cfg ファイルは複数のセクションに分かれています。
- 一般的なセクション
- 一般的なセクションには、デフォルトの設定オプションおよび Tomcat 設定オプションが含まれます。以下に例を示します。
[DEFAULT] pki_admin_password= pki_backup_password= pki_client_database_password= pki_client_pkcs12_password= pki_ds_password= pki_replication_password= pki_security_domain_password= pki_token_password= [Tomcat] pki_clone_pkcs12_password=
- サブシステム固有のセクション
- サブシステムセクションには、サブシステム固有の設定オプションが含まれています。以下に例を示します。
[CA] pki_admin_name=caadmin pki_admin_email=caadmin@example.com
後のセクションで定義された設定は、前のセクションの設定よりも優先されます。たとえば、サブシステム固有のセクションの設定は、
Tomcat セクションよりも優先されます。これは、DEFAULT セクションの設定よりも優先されます。この動作により、DEFAULT セクションまたは Tomcat セクションのすべてのサブシステムで共有されるパラメーターと、そのサブシステムの セクションで特定のサブシステムに固有のオプションを指定できます。
注記
default.cfg ファイルのコピーは、pkispawn の実行後に作成されたサブシステム内に保存されます。その後、pkidestroy でサブシステムを削除するときにコピーが使用されます。
pkispawn に提供できるさまざまなカスタム設定ファイルの例は、pkispawn(8) の man ページを参照してください。default.cfg の詳細は、pki_default.cfg(5) の man ページを参照してください。
1.1.2. インタラクティブな pkispawn モード
pkispawn に設定オプションを指定しないと、ユーティリティーは対話式インストールモードに入り、基本的な必要なインストールオプションを自動的に要求します。インタラクティブな pkispawn インストールモードは、Certificate System に精通しているユーザーに適しています。インタラクティブモードに使用する基本的なオプションの一覧は、pkispawn(8) の man ページを参照してください。
対話型インストールでは、他の設定オプションは利用できません。高度な設定を使用する場合は、「非対話の
pkispawn モード」 で説明されているように、-f オプションを使用して pkispawn に設定ファイルを指定します。
対話型インストールモードで指定されたパラメーターは、
/etc/sysconfig/pki/tomcat/instance_name/サブシステム/deployment.cfg ファイルに保存されます。
1.1.3. 単一インスタンスでの複数のサブシステムの作成
単一の Tomcat インスタンスには複数のサブシステムを含めることができます。ただし、1 つのインスタンスに含めることができるサブシステムのタイプは 1 つだけです。たとえば、インスタンスには 1 つの CA と 1 つの KRA サブシステムを含めることができますが、2 つの CA または 2 つの KRA サブシステムを含めることはできません。
複数のサブシステムでインスタンスを作成するには、
pkispawn を複数回実行し、毎回異なるサブシステムを指定します。たとえば、CA および KRA を使用してインスタンスを作成するには、pkispawn -s CA コマンドを実行し、pkispawn -s KRA コマンドを実行します。
